Изменения в законодательстве о персональных данных
Тема: Персональные данные
Источник фото: https://www.pexels.com/
Выживать малому бизнесу в России с каждым годом становится все труднее и труднее. То ужесточат налоговое бремя, то под лозунгом пандемии отправят всех под «домашний арест» за счет работодателя, то штрафы повысят или введут новые. К сожалению, так сложилось, что в нашем государстве отжимать кровно заработанные у бизнеса уже стало нормой. Очередным свидетельством этому являются поправки в КоАП о нарушении законодательства в области персональных данных (далее также ПД).
В марте 2021 года ужесточили санкции за нарушения в области ПД. Административные штрафы за нарушения в области персональных данных увеличились в 2 раза практически по всем административным правонарушениям. Неизменными остались лишь штрафы за невыполнение оператором обязанностей по обработке персональных данных граждан РФ с использованием баз данных, находящимися за пределами страны. Но они итак слишком высоки и «непопулярны», например, максимальная сумма штрафа для юридического лица за указанные правонарушения составляет 6 млн рублей, а за повторное нарушение данных обязанностей – 18 млн рублей.
К примеру, ранее за невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике оператора в отношении обработки ПД могло повлечь для юридического лица административное наказание в виде предупреждения или штрафа в размере от 15 до 30 тысяч рублей. Теперь за аналогичное правонарушение юрлицу грозит всего лишь только штраф в размере от 30 до 60 тысяч рублей.
А обработка персональных данных без согласия субъекта ПД может обернуться организации штрафом до 150 тысяч рублей, при повторном нарушении – до 500 тысяч рублей.
Изменения коснулись не только ответственности за нарушение законодательства в области ПД, поправки также были внесены и в сам Федеральный закон № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). Далее рассмотрим наиболее значимые изменения, произошедшие в 2021 году.
Как усматривается из пояснительной записки к законопроекту, нововведения направлены на ограничение неконтролируемого использования ПД, размещаемых на интернет-сайтах и в других открытых источниках.
С 01 марта Закон № 152-ФЗ был дополнен статьей 10.1., в соответствии с которой необходимо получать отдельное согласие на обработку ПД, разрешенных субъектом для распространения. При этом под распространением ПД понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона № 152-ФЗ).
С 01 сентября 2021 года вступили в силу обязательные требования к содержанию согласия на обработку ПД, разрешенных субъектом персональных данных для распространения. Такие требования на основании ч. 9 ст. 9 Закона № 152-ФЗ утверждены Приказом Роскомнадзора от 24.02.2021 № 18 и включают в себя:
-
ФИО субъекта и контактную информацию (телефон, e-mail или почтовый адрес),
-
сведения об операторе и его информационных ресурсах,
-
цель (цели) обработки персональных данных,
-
категории и перечень ПД, на обработку которых дается согласие субъекта,
-
срок действия согласия.
По желанию субъекта согласие может содержать:
а) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов,
б) условия, при которых полученные персональные данные могут передаваться оператором только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.
В случае раскрытия ПД неопределенному кругу лиц самим субъектом без предоставления оператору согласия, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку (ч. 2 ст. 10.1. Закона № 152-ФЗ).
Таким образом, даже если субъект самостоятельно разместил свои ПД, допустим в соцсетях, использовать их для дальнейшей обработки и распространения уже не получится без его согласия.
Согласно ч. 4 ст. 10. 1. Закона № 152-ФЗ, если в полученном оператором согласии отсутствует прямое указание субъекта на возможность использования его данных неограниченным кругом лиц, то такие ПД обрабатываются только оператором, которому они были предоставлены, без права распространения.
Кроме того, субъект ПД вправе установить запреты на передачу (кроме предоставления доступа) этих ПД оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом ПЛ запретов и условий, предусмотренных настоящей статьей, не допускается. Об этом сказано в ч. 9 ст. 10.1. Закона № 152-ФЗ.
Как показывает практика, когда вводятся новые штрафы или увеличиваются действующие, проверки и административные наказания не заставляют себя долго ждать. Учитывая вышеизложенное, имеет смысл проверить все ли требования к обработке персональных данных соблюдаются в организации. Кроме получения согласия, оператору также необходимо уведомить Роскомнадзор об обработке ПД, опубликовать политику обработки ПД, обеспечивать безопасность ПД при их обработке, соблюдать принципы обработки ПД и пр.
Напоследок, стоит привести судебную практику, свидетельствующую о возможном наказании за отсутствие у оператора согласия субъекта на обработку ПД.
Определение Верховного Суда РФ от 19.07.2021 № 307-ЭС21-11355 по делу № А05-1153/2020
Расчетный центр обратился в суд с заявлением о признании недействительным пункта предписания управления Роскомнадзора об устранении выявленных нарушений, которые выражались в том, что ЕИРЦ нарушило требования конфиденциальности при обработке ПД граждан в части передачи данных регистрационного учёта в адрес РСО по их запросам для взыскания с должников задолженностей по оплате за коммунальные услуги в отсутствие согласия субъектов ПД или иных законных оснований.
В передаче дела в Судебную коллегию по экономическим спорам Верховного Суда РФ отказано, так как, оценив представленные доказательства по ст. 71 АПК РФ, суды пришли к выводу о соответствии оспариваемого предписания нормам действующего законодательства. Суды исходили из отсутствия в материалах дела доказательств того, что собственники и наниматели жилых помещений спорных многоквартирных домов и жилых домов, являясь субъектами персональных данных, выразили согласие на предоставление персональных данных третьим лицам, в частности, ресурсоснабжающим организациям.
Напомним, что в силу статьи 7 Закона № 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
При этом доводы заявителя о том, что право на передачу персональных данных без согласия субъекта персональных данных вытекает из положений пунктов 5 и 7 части 1 статьи 6 Закона № 152-ФЗ, а также из положений Правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утверждённых постановлением 7 А05-1153/2020 Правительства Российской Федерации от 06.05.2011 № 354, суды признали необоснованными и сочли их не применимы к спорным отношениям.
Компания «Бурмистр.ру» разработала уникальную CRM-систему для управляющих компаний и ТСЖ. Вся необходимая информация о сервисе по ссылке.
.jpg)
.jpg)
Рассылка новостей ЖКХ
а также наших статей
Подписалось уже
15101 человек
Если РКН такой умный, то пусть долги и взыскивает.
А что не так?
РКН правильно выдал предписание.
ЕИРЦ передал РСО персональные данные без согласия субъектов персональных данных.
ЕИРЦ даже не участник жилищно-коммунальных отношений.
Если ваши персональные данные Сбербанк будет выдавать налево-направо всем кто попросит, вы как отнесетесь?
То есть, когда местные и областные комитеты, администрации и прочие властьимущие требуют от УК передать данные в ЕИРЦ, то все нормально, все по закону и согласия от третьих лиц не требуется...
Юлия Т. написал:
То есть, когда местные и областные комитеты, администрации и прочие властьимущие требуют от УК передать данные в ЕИРЦ, то все нормально, все по закону и согласия от третьих лиц не требуется...
А если они с моста скажут прыгнуть?
У меня местный "ЕИРЦ" и иже с ними тоже пытался получить данные. По шаблону ответ: "По закону о персональных данных предоставление третьим лицам запрещено."
Обижались, дули губки, пыхтели, но шли лесом.
ЖалуйтесьКомуХотите написал:
Обижались, дули губки, пыхтели, но шли лесом.
У нас тоже идут лесом, но это не отменяет того факта, что со всех сторон идет давление и требования о передаче того или этого сторонним организациям, приближенным к властям.
Не сталкивались с проектом государства (может, конечно, это только у нас в Ленобласти такой замутили) "Поквартирная карта"?
Правительство Ленобласти + местная администрация через ЕИРЦ навязывают программу (бесплатная, но чтобы её запустить, нам пришлось обновить комп), аттестацию рабочего места (50 тыс. руб.) под эту программу, якобы для благой цели, что смогут в ней работать все заинтересованные организации, а УФМС будет туда вносить сведения о регистрации граждан по месту жительства (угу, только УФМС про это не в курсе и им это даром не надо).
Вот суд все правильно решил и по-закону!
Передача ПД без согласия допускается по закону, а закон обязывает передавать ПД РСО только управляющие организации и только в целях исполнения договоров исполнения коммунальных услуг.
Каким краем к этим лицам относится ИРЦ?
Неувязочка и с целью передачи ПД - почему РСО взыскивает с потребителя в суде? Прямые договоры? - так значит у РСО есть (д.б. в соответствии с положениями ППРФ 354) все данные по лицевым счетам, к тому же - УО ОБЯЗАНЫ актуализировать сведения РСО о потребителях КУ передавая им обновленные сведения!
С чего РСО обращалась в ИРЦ, вместо того, что бы обратиться в УО?
Юлия Т. написал:
Не сталкивались с проектом государства (может, конечно, это только у нас в Ленобласти такой замутили) "Поквартирная карта"?Правительство Ленобласти + местная администрация через ЕИРЦ навязывают программу (бесплатная, но чтобы её запустить, нам пришлось обновить комп), аттестацию рабочего места (50 тыс. руб.) под эту программу, якобы для благой цели, что смогут в ней работать все заинтересованные организации, а УФМС будет туда вносить сведения о регистрации граждан по месту жительства (угу, только УФМС про это не в курсе и им это даром не надо).
"Добрым словом и пистолетом вы можете добиться гораздо большего, чем одним только добрым словом" (с)
Все добровольно, а потому легально